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فضا بزیارتنا 


تحليل الغايروس هو۷هاام۲ وكتابة المضاد lJلخlيرwg Anti-Perlovga‏ : 
الفقره التالية تتناول مثال عملي على تحليل أحد الفايروسات و هو ۲۵۲10۷93 كما يسمية مضاد ٥2۴6ء«‏ وهناك أسماء أخرى لهذا الفايروس مثل 
"R03_PERL0VGA.A‏ (من تسمية شركة )۲۲۵٠١۸١ M٥۲٠١‏ . والقائمه التالية هي الأسماء الأخرى لهذا الفايروس من مضادات الفايروسات الأخرى. 


:Aliases 
Mcafee: W32/Perlovga ° 
F-Secure: Trojan-Dropper.Win32.Small.apl « 
Eset: Win32/TrojanDropper.Small.APL e 
Bitdefender: Trojan.Dropper.Small.APL e 


هذا الفايروس یصيیب أنظمه الويندوز Win32‏ وتم اکتشافه في منتصف 2006 وما یزال الى الأن يتواجد فقي الكثير من الأجهزه وینتشر عن طریق 
النقل بالوسائط مثل الفلاش ديسك ءا ها۴ » وحينها يقوم الفايروس بعمل ملفين يضعهم في مجلد النظام 5/532 (الملف الأول بالإسم 
temp 1.exe‏ ویقوم بانشاء ملف بالإسم €×ع.†۸05٤۷ء‏ ويضعه في مجلد ك 0WلہWi| ٣:‏ أما الملف الثاني ع×ع.2م8 فيقوم بالإتصال عبر المنفذ 


8888 الى الموقع 211.699.242.91 وربما لغرض تحمیل تروجان أو فایروس أخر). 


هذا كل ما يتعلق بعمل الفايروس 4ه٥ا۷ه۴‏ » وهو انشاء هذين الملفين وتشغيل الملف ع×ع.1!051ع٤۷ء‏ عند بدء التشغيل وذلك من خلال التعديل 
في قيم الريجستري ووضعها في الم اه5 » وكما يتضح من الل ةه اه۴ فالفايروس يعتبر من الفايروسات البسيطة قليلة الخطر على 
المستخدم كا سما . أي أن ضرر الفايروس في وضع الملفين في الجماز لذلك يطلق على هذا النوع من الفايرو سات .Dropper Virus‏ 


النحليل المبدئي كائyاA"a2 :Static‏ 

دعنا الأن نأخذ نظره مقربه أکثر على الفایروس وطریقه عمله ونبداً بتحلیل الفایروس بدون تشغیله کیا۵٣۸‏ ناه وهنا يمكن استخدام العديد 
من الأدوات والتي نرید من خلالها التعرفق على بعض الأمور المتعلقة بالفايروس مثلا يمکن من خلال بعض هذه الأدوات معرفه جمیع النصوص 
في البرنامج ٣|٣9‏ )؟ » أومعرفة هل البرنامج مضغوط أو مشفر J pİ Packed‏ > ومعرفة الدوال والمكتبات التي يتعامل معها الفايروس 0۲۴4مص1 
Function‏ وغیرھا من الأمور التي ستتوضح بعد قليل. وأكثر طريقه يمكن من خلالها التعرف على طريقة العمل بالتفصيل هي من خلال أستخدام 
أي ۲عاط"عءءهءiط‏ لأخذ نظرة مقربة على الكود ومعرفة تفاصيله . 


وقبل البدء بأي عملية جراحية يفضل ان تكون على نظام أو جهاز أخر بخلاف الجهاز العادي التي يتم العمل عليه وتصفح الانترنت وما الى ذلك 
حتى لا تتسبب في اصابة الملفات في حالة القيام بفتح الفايروس عن طريق الخطأً ويالتالي تخسر ملفاتك بلمح البصرء لذلك يفضل دائما حفظ 
البيانات في مكان أخر صنا)ة8B‏ . كما يفضل أخذ صوره ع1۳29 للنظام وبالتالى عند عند اصابة الجهاز بأحد الفايروسات أو تم التغفيير في أحد 
إعدادات النظام فيتم ارجاع النظام للصوره السابقة له 1۳206 في عده دقائق. أحد أشهر برامج حفظ واستعادة هذه lل1Image‏ ھg .Norton Ghost‏ 


حاليا سنعمل على جهاز أفتراضي وليس على الجهاز العادي » وسنستخدم أي ڊرiنlمج VMware Jin Virtualizai0¬‏ و VirtualPC‏ مj‏ 
مايكروسوفت وهناك غيرها الكثير »» في هذا المثال سوف نستخدم برنامج ×80 اه۷ المجاني من 51١‏ نظرأً لصغر حجمه وسرعته في العمل 
وسهوله التعامل معه. بالإضافة الى برنامج ال٣‏ 0اةااة نا۷۲ سوف يتم استخدام برنامج ع7عء۲معع0 والذي سوف يعود النظام الى حالته 


الأصليه بعد عمل أي تغييرات عند اعادة التشغيل ۲١3ء۸6‏ وهو مفيد بعد أن تقوم بتشغيل الفايروس وتلاحظ مهامه حينها يمكنك اعادة التشغيل 
وسيرجع الجهاز الى حالته الأصلية من قبل الإصابة بالفايروس. الشكل التالي يبين استخدام برنامج DeepfreezeJlg Virtual 80xJ|‏ . 


Programs 


ل 


Lessons 


EM e O r, f 10:46 Am 
ھا ہے اھ ت‎ O E Right cr 


نقوم بعد ذلك بجلب الفايروس الذي نود تحليله الى الجهاز التخيلي » وذلك من خلال نسخه بواسطة ءا ها۴ الى النظام التخيلي أو تحميله 
من الأنترنت » أو باستخدام أي طريقة أخرى مثل نقله من الجهاز المضيف ا15 الى التخيلي وذلك بعمل قرص تخيلي في الجهاز المضيف ومن 
تم يتم الوصول لهذا القرص من خلال الجهاز التخيلي (باستخدام برنامج 150ه٣]الا)‏ » والشكل التالي يوضح الفايروس بعد جلبه الى الجهاز 
التخيلي و الذي سوف نقوم بتحليله : 


lm Trojan.Dropper-B29 


Fils Edit Yiew Favorites Tools Help î 


OQ sax > 3 0 O sear ly Folders Î7 
Address I) C1Dacuments and Setting ا‎ DONT opefrityIrojan, Draopper- ¥ ا‎ a0 


File and Folder Tasks IF 


malware, exe 
ج‎ BindFile Microsoft IMM 


3 Make a new Folder 

€ Publish this folder to 
the Web 

El share this Folder 


الاير وس المراد تحليله 


Other Places 


l_j Yiruses DONT open it 
3 My Documents 

lÃğ Shared Documents 
Fj My Computer 

My Network Places‏ لر 


1 objects 68,5 KE 9 My LZaompuker 


sı Trojan.Drop... 1 x HF E 2, E 11:49 AM 


بعد ذلك نبداً بجمع معلومات أولية مثل اسم الملف وهو كما يتبين الأن في الصوره ٥×ع.2۲۴«ا2"‏ ولكن بكل تأكيد لن تفيد هذه المعلومه كثيرا 
حيث يمكن تغيير اسم الملف لذلك لن يتم الإعتماد على هكذا معلومة » أيضا يتم ملاحظه حجمه وهو 68.5 8» ومن تم نرى هل هناك 
Attribute‏ (للقرائه Re2d-01¥‏ - مخفي ۳1۵48۸ ) على هذا الملف وحاليا كما هو واضح من الصوره أن الملف هو ملف عادي غير مخفي ١ع‏ للا 
وليس ۲٠0-0۸1۷‏ . هذه المعلومات يتم جلبها من خلال الضغط على الفايروس بالزر الأيمن وعرض الخصائص للفايروس . 


malware.exe Properties 


General | 'Yersior 


Compatibility || Summary 
File wersion: 1.0.0.1 
Description:  BindFile Microsoft INM 


Copyright: mM [L-] 2005 


Other version information mm! اس اماه‎ 


Item name: 
Company 

File YWersion 
Internal Name 


Ea Tradernark.s 


Product N arme 
Product Wersion 


1خ ا 


لخه النطاع المي ايشا يه العلتت ي 
عبر 4ي الاير وس عن الصين 


وهناك الكثير من البرامج للتعرف على هذا الأمر » وسنستخدم الان برنامج ۲۴0 لمعرفه ذلك : 


nts and SELLINSWaIYIESEEOPIWIFISES DORI open IE lrojan, DrOppEr-HZY 


malNarEe , Exe 
ا کی‎ BindFila Microsoft IM 


File: | ZADocuments and SettingslWajdy\Desktoplviruses DONT open Tra | ... 


EP Section: ,texk 
First Byles: 55 BBE 6A 
Subsystem: Winda UI 


استخام هیر جو چیجول سي+1 
Microsoft Yisual C++ 6,0 [Overlay]‏ 


Multi Scan Task Yiewer pkions About Exit 


sks 
PF PED v0.95 

ıa the 
Entrypoaint: | OODOO3ESD 
File GfFsEE: DODD3ESD 
Linker Info: | 6,0 

SENE 

nts 


lw Stay on top 


احاله 


بعد ذلك يمكن الإطلاع علي محتويات البرنامج من خلال أي محرر هكس ١0األ٤‏ ×16 ولكن ستكون هناك كميه من البيانات والتي تتطلب وقتا 
لقرائتها وفهمها لذلك یمکن استخدام برامج صغیره مثلا ×6 81١"۲‏ والذي سیقوم باستخراج النصوص من البرنامج ومعرفه ال9٣‏ !۲ء سواء كانت 


نصوص عاديه أم دوال يستدعيها البرنامج » كما يوضح ذلك الشكل التالي : 


EES 


BinText 3.01 


Search | Filter | Help | 


File to scan viruses DONT open it Trajan.Drapper-Bdhrmalware. exe _ Browse | ETN 


Time taken : O. O4U secs Tet size: 35BF bytes [3.48] 


MODA OOO‏ اھ 
OO LA ODODE‏ اھ 
DODA DODA IDDIA,‏ هھ 
ODOIDODEA, DOO41DDBA‏ #2 
DOOD FE DO400 FB‏ #2 
004E 00100‏ اہ 
ODE DOO410DBE‏ اھ 
0041122 ے12 ا0Nلا0‏ اھ 
LA OOUOFE33 ONDE‏ 
Lî DOOUOFELC3S DOO4DFEC3‏ 
LU ODODOFFE4 OD4DFFE4‏ 
Lî DODOOFFBO DOO4DFFBD‏ 


CreateProcessh 
GetEnvironmenty#ariablz#, 2 
بر باعي ± 811118 و سىء ال‎ 


WY SAS ack ebû, I1 1 ادر‎ 
WS 2_32. dl سخر اج الوص عن‎ 


Pirr ّ ا‎ la 
COMSPEC e a al SE 
F:ftptD ebuug"ftp. pdb وهكن اي كوي متاك‎ 
BindFile 

علاحطاك اعلية عن :اريه 2005 [CJ‏ 
SyslL isim‏ 

الدوالJ‏ ابي وسر موا Liz!‏ 


http: fmm. jiaozhu. nek البر نام و الي‎ 


لاطلالاك 
YS_YERSION_IHFDO‏ 
StringF ilel nfo‏ 
OS8N404B0‏ 
Company arme‏ 


Uni: ZB Rare: Û Find Save 


Lî OOUDFAAS ONADFIA5 
Lî OOUOFIBE DO40F3BE 
LA OOUOFA1Ê DODO4DFA1Ê 
Lî OOUOFAZE DOAUFA3E 
Lî OOOOFASE ODNAOFABSE 


بواجت يه 


DDD DDDDDODDDDDDDODDS 


YW Advanced wie 


|b OODDOFEBES ON4DOFBES 


| Ready ANSI: 341 


ويفضل أخذ ال "نا)٤6"‏ للملف التنفيذي (الفايروس) من قبل اجراء أي تجارب عليه وبعد اجراء أي تجربة يتم اعادة أخذ ال uء)ءه۸‏ لمعرفه 


آي تغییر حصل على الفایروس لأن هناك برامج تقوم بتغيير نفس ھا بعد lلعمJ Self Modified Code‏ 


> ويمکن أن یکون ال٣ C۸٥٤)‏ عباره عن 


CRC‏ أو Hash‏ » وحاليا سوق يتم أخذ الطكة١ M25‏ للملف » ويمكن كتابه برنامج لهذا الأمر أو الإستعانه بأحد الأدوات مثلا ٣ائ5ل"‏ . والشكل 
التالي يوضح الماش الناتج وهو ba264581ع309401a73ععطabطd4c07370b‏ باستخدام البرنامج "d5s1u"‏ : 


EZ ی‎ E E Hy ı GI aR 


| CA Documents and SettingsYajdy{DesktopiYiruses DONT open it Trojan, Dropper-229 په‎ ٤ 


~~ 


GC:*Documents and Settings™ajdy«Desktop™Uiruses DONT open itxTro jan .Dropper-829? 
ndbsums .exe nalware .exe 


MDSsums 1.2 freeware for Win?x#HE/NT#2ABA/RP + 
Copyright <C? 2881-2885 Jem BerFrkes ¬ http:#7uuu. pc¬~too ls .net# 
Type mdû5suns .exe —-h for help 


[Pathl # Filename 


[C:xDocunents and Settings™lMajdy«Desktop™Miruses DONT open itxTIrFo jan .Dropper—B2? 
1 


nalware . exe 1d4cA?37HAhabee3874A1a73e baab4f 58 


C:x*Documents and Settings«Hajdy™xDesktop™iruses DONT open itxTIro jan .-Dropper-829?, 


نكمل الأن التحليل الستاتيكي ونصل لأهم طريقة لتحليل الفايروس وهي عن طريق استخدام ال#۲اا"#ءءهءا0 » وسوف نستخدم 
ال ٣eاsembءهDi‏ الذي يأتي مع المنقح 08ا01 » وسوف نلقى نظره على أهم الدوال بشكل سريع فنحن نريد أخذ فكره عن عمل الفايروس 
بشكل سطحي وليس فهم ادق التفاصيل بشكل %100 . كما يتبين من الصور التاليه : 


Address | HH dunp Disassenb ly Comment 


هنا في الشكل السابق يقوم الفايروس بالبحتث عن مجلد النظام باستخدام الدالة y۷اماcعirاmD0عystكtع‏ والتي اخرجت له مجلد النظام وسوف 
rT‏ 1 3 : 


F۴ 


الأن واضح أن الفايروس قام بانشاء الملف الأول ع×ع.1م"۳† وفي نفس الحلقة سوف ينشئ الملف الثاني ع×ع.2م ع ويقوم بالكتابه في هذه 
الملفين (طريقة الكتابة غريبه بعض الشي»ء) . بعد ذلك سيقوم بتشغيل كل من هذه الملفين باستخدام الدالة ككععه٣٥۴عatعا)‏ كما يوضحه 
الشكل التالي : 


IHFINHITE 


النحلیل الدینا میک„ Dynamic Analysis‏ 

الطريقة الأخرى لتحليل الفايروسات وهي الطريقة الديناميكية وهنا سوف نقوم بتشغيل الفايروس وملاحظه وظيفته أثناء عمله أي أننا سنقوم 
بتشغيل الفايروس بأنفسنا ولن يضر الجهار التخيلي ذلك بسبب وجود برنامج ال ع2٠۴۲۴‏ مه0 والذي سيعيد الجهاز الى حالته الأصليه عند اعادة 
تشغيل الجهاز. ويمكن الإستفاده في هذا التحليل من أدوات الو١أ۲ه†M0‏ لملاحظه تغييرات الريجيستري التي يغيرها الفايروس وملاحظه 
العمليات على الملفات في القرص 1/0 وملاحظه التعامل مع الشبكة سواء بارسال أو استقبال بيانات » وأشمر الأدوات هي أدوات ا۵۲†١iأكر؟.‏ 


وقبل أن نقوم بتشغیيل الفایروس يجب أخذ حالة مسجل النظام الحاليه ۲۷آ؟اR69‏ ومن تم بعد تشغيل الفايروس يتم أخذ حالة ال Regist‏ مره 


أخرى وزعدها تتم عملية المقارنه واكتشاف أي تغييرات حدثت على الريجستري» وسوف نستخدم الأداه الصغيره ۸895۲0 كما توضحه الصوره 
التاليه : 


7 ۶ | Search E; Folders ERE 


=1 Documents and Settings Wajdy{DesktoplVinuses DONT open it Trajan, Dropper- g29 


WM Regshot 1.8.2 


‘older Tasks Ê malware, exe 
BindFile Microsoft MIM 

a new Folder Compare logs sae a5: TERE 
hı this Folder to the f Plain TXT f HTML document 
thi جم اخ 1 0tط؟ چہل جشغیل الها‎ 
و 2 ا‎ I scan dir1[dir2;,..;dir nn]: 

[ewmoows‏ ربعا بشخرله پیم خا 2 S0‏ م 
يته اأعغا علي ع#إدم سناع وخر اھ ıces‏ 
Quit‏ | | النتيجة وم المدحكد الجديدة ı5 DONT open it‏ 
cıiDocumEr1iwajdyiLOC | About‏ | مسجل اليطاء acuments‏ 


ıd Documents 


Add comment into the log: 


English ¥ 


ampuker 


atmork Places 


2 


الأن سوف يتم تشغيل الفايروس » وبعد تشغيل الفايروس خرجت الرسالة التاليه وعلى ما يبدوا هناك خطأً ما في الفايروس : 


سا س ي سس r‏ 


cuments and Settings Wajdy{DesktopiYiruses DONT open ik Trojan, Dropper -B23 


pl ela‏ ام ,اعدا 1ء J1‏ تي چام عمل عن الا ساس 
ır Tasks Ê 1 malware,exe Û Windowz Task Manager| Windows Task Manager‏ 
BindFile Microsoft IM‏ 


File Options Yiewy Shut Gown Help 


folder 
: Folder to the temp2.exe Applications Processes Performance | Met 
folder [temp2.exe has encountered a problem and needs to 
close. We are sorıy for the inconyenienice. rags HES E ems 
wac, Exe Wajdy 
5 ctfrman exe Wajdy 
ت‎ If you were in the middle of something, the information you were working on YEoxTray Exe Wajdy 
might be last. spoolsy, exe SYSTEM 
NT oper it aj 
ants Please tell Microsoft about this problem. jd 
We have created an error report that you can send to us. We will treat LOLAL SERYILE 
zuments this report as confidential and anonymous. sychost, exe LOCAL SERYICE 
zer swchost,exe NETWORK SERYILE 
swchost, exe SYSTEM 
E Places To see what data this error report contains, click here. 


Send Error Report |_ Dont Send | 


چ 


بعد تشغيل الفايروس بدا الملف ×ه.1م† بالعمل في الذاكرة أم الملف الأخر فلم يعمل بسبب مشكلة ما » على العموم يفضل حاليا بعد 
تشكيل القابرونى مباشرة أخذ خورة أغرى احالة مسجل النظام ومن ثم صمل مقارتة قا بين قيم الرتجضترى الخذيذة والقديمة واكشاف الخير 
والشكل التالي يوضح النتيجة » ونلاحظ أن الفايروس يضيف برنامج جديد باسم ۵×8.ا5۷0105 يعمل مع بدء التشغيل ويكون هذا الملف موجود في 
المسار 0WsلC:|W1‏ . ولكن بعد الذهاب لذلك المسار لم يتم ايجاد الملف وهو دليل على أن هناك مشكله في الفايروس ولم يستطع انشاء 
الملف من الأساس! 
~res.txt - Notepad x‏ 
File Edit Format Yiew _Help‏ 


IS lT ~1: System Confi tion Utilit 
“arr OOQOCoNTT O1 ystem Configuration Utility 


3ftwar EMM cros of 
3ftwar E™MÎ cr os of 
3ftwar EMÎ ros Df 


General | SYSTEM.INL | WIN. IMI | BOOT INI | Services | Startup 1‏ ا 


| Startup Item CZornmand Lacation 
wl YBoxTray LWINOOWSISYSteEMIAWBoxTraY..,,  HELMSOFTWYARE Microsoft YindowsLurrentYer sic 
l¥| ctfrmor LWINDOWSEYStEMAAcEEmon exe 1 Windows CurrentYersic 
3 B6 LÛ 56 11 03 | swchast  CAWINOGWSISYLhOSE, Exe HELLNSOFTWARE Microsoft days HTICurrertyE 
- SC A D5 F1 D8 
x»OOOOOODD 
xOOOOOOAL 


rass ist ™{ 75048 700-EFIF-11D0-9888-ÛO060 
sSsist{75048700-EFIF-11D00-9888-Û060 
sconnectionshsavedLegqacysett i ngs 
xe onNnECTtT onshsavedLegacysett î ngs - 


3ftwar EMM cr oso FTW ndows Curr entwer s1 on Exp lor er 
3Ttwar MÎ zr os OFT WT NAoWS Curr ant Yer s1 0N MExXp lor er ™lls € 
3Ftwar EMÎ cr os oft wÎ nfows curr enter sî on Internet sett 
3ftwar Microsoft wî nlows Curr entwer s1 or ™Internet Settin 
3ftwar MÎ crosof tw nflows NT™curreantvers iow ndows™ load: 
3ftwar EMÎ cros oft “wî nfows NT™hCurrentwers 1o ™wî nfdows™ load: 


jE FaYorites Toanls Help 


search Ey Folders EH‏ کے PF‏ ا 


=Ë E CHWINODOWSsYStEm 32 EJ so 
cpl.cpl... logonui,exe.,, WindowsLo..,. amcompat.tlb nscompat.tIb 


5 
Hide the contents of 1 Eb Eb 
this Folder اشا‎ 


Add or remove ZORNMFIG MIT $winntg.inf perfcO03,dat perfhO032.dat PerfStringB... 
programs 


J Search For files or 8 
ا‎ a © 


FNTCACHE.... 0 2 1 temp2. exe 


File and Folder Tasks 
1,889 objects 2| MY Computer 


حاليا بعد اكتشاف التغييرات التي يحدتها الفايروس باستخدام الأدوات أعلاه فيمكن القيام بها مره أخرى ولكن باستخدام أدوات أخرى وذلك 
لاستخراج أكبر قدر ممكن من المعلومات » فبالتالي يمكن اعاده تشغيل الجهاز التخيلي ومن ثم البدء بتحليل الفايروس باستخدام أداوت أخرى 
ولتکن أدوات الو Monitor‏ مثل Press Monitor‏ حیث تقوم هذه الأداوت بمراقبه کل العملیات في الءءعع٥۴۲‏ لکل العملیات کعییعه۴۲ 
الموجودة في النظام. 


وعند التعامل مع البرنامج١M0710‏ ككءعع ۲۲0 فسوف يقوم باخراج جميع المعلومات المتعلقه بأي عملية في النظام وهذا يؤدي لكثره المعلومات 
وصعوبه قرائتها وملاحظة الفايروس . لذلك يجب عمل ۴|۲6١‏ واختيار مراقبة على عمليات معينه في الءءعع ه۴۲ المعين » وسنقوم باختيار 
العمليات التي نريدها للعملية ككعع ه۴۲ الذي نريد » الشكل التالي يبين مراقبه العملية ۵×ع.131۷3۲€ وسيتم مراقبة فقط عمليات الكتابة والقرائه 
على الملفات ومسجل النظام وبضعه أمور أخرى يبينها الشكل التالي: 


i: Process Monitor - Sysinternals: www.sysinternals.com EEG 


RM EE| Fé® 1 AE | RAIA 3 8 


Time... Process Na... FID Operation Path 
ت‎ 
f Î Bm Process Monitor Filter 
S023... malware.eke 
ROE. malware.eke 
| UA... malware. eke Architecture اا ي‎ e then Include ¥ 
EOE. malware.eke 
OES... malware.eke 
aK malware.exe Reset | [ Add | 1 RNS 
aK malware.exe 
a a malware.exe Column Relation Action 
S:023... malware. exe 
a malware. exe 
a malware.exe 
a a malware.exe 
B:02:3... TÎmalware.ene peration أ‎ RegCreatekey 
B023... malware. exe peratior i RegD eletekey Includ 
EZS... malware. eke peralion i RegÛ eleteyalıe Includ 
S023... malware.ene peralion ا‎ RegE num ale Incelud 
5:02:3... i |malware.exe peration i WriteFile Includ 


1 ا‎ E peration ا‎ ReadFile Includ 
Edi E.02.31. a peratior ا‎ SelDispositionlnf... Includ 


B:02:3... TÎnalware.ene 0 Process Name i Procmon. ene Exclude 
B:02:3... TÎnalware.ene < Process Name i System Exclude 
ا‎ malware.eke < Operation begins with RP_MJ_ Exclude 


SUZ... malware.eke a Operation begins with FASTIO_ Exclude 
S023... malware.eke 
SUZ... malware. eke 1 Ok | 1 Canrel | 
BO23... malware.eke 


Display entries matching these conditions: 


peration i CreateFile 
peralion ا‎ Process Create 


Fils Edit Ewent Filter Tools Options Help 


mM ERE) GA@® BME) ( #IAlA| 2 


PID Operation Path 


1048 EM CreateFile Cow ND O'S haystem32 SUCCESS 
1 : : 


FF malmare.exs 1048 Ek CreateFile Ca] RD OS rspstem32temp2. exe SUCCESS 
3 malware.exns 1048 EK CreateFile Ca] ND OS rspstem32 SUCCESS 
TT malmare.exne 1048 EWwiiteFile Coa] ND DS system 32temp2. ene SUCCESS 


TO malmars. eme 1048 EA CreateF ile LCI HD O'S spstem3Arapphelp. dll SUCCESS 
TÎmalmars. ane 1048 EM CreateF ile LID OS n spstemdAapphelp. dll SUCCESS 
TÎmalware. ene 1048 Ek CreateF ile LE HD OFS hA.ppP atch™hsysmain.sdb SUGCESS 
DÎ malware. exe 1048 Ek CreateF ile LD DFS hû.ppPatch™,systest. sdb HAME NOT FL 
2 malware. ene 1048 EA CreateF ile CID OS systema SUCCESS 
aa TÎmalmars. ene 1048 Ek CreateF ile EY SUCCESS 
.. Dmalmare.exnes 1048 EMCreateFile GYWYIND OS SUCCESS 
7 E 


Showing @+ of 81,033 EYents (O, 10e) Backed by page File 


لنلقى نظره على معلومات الملفات التي أنشأها الفايروس » والحصول على هذه المعلومات تكون بنفس الطريقة التي استخدمناها لمعرفة 
معلومات الفايروس الأصلي وسوف نستخدمها الأن لمعرفه تفاصيل كل من الملفات الجديده سولء بمعرفة الحجم و الهاش و اللغه التي يعمل بها 
ويفضل عمل قرائه سريعه للكود » الشكل التالي يوضح الهاش الناتج لكل من الملفين : 


CGC: *MWINDOWSNsysten3da *mdbsunms . exe templ exe 


HDSsuns 1.2 freeware for Yin?x#MHENT#28AAA/RP+ 

Copyright <C? ZAA1-2AAS Jem Berkes - http:##iumm.pc—tono ls .net# 
Type ndSsunms .exe ¬h for help 

[Path] # filenane 


INDONE“s ysten3 2 ™ 1 
tEempl .exe asf SA18dF 42A9aeد978BAFATce1b6b4F‎ f 2 


CGC: *MINDOWSNs ysten32 mdb suns . exe tempd exe 

HDSsuns 1.2 freeware for Yin?x#HE/NT#28AAA#RP+ 

Copyright CC? 2AA1-28AAS5 Jem Berkes - http:#7wmm.pec~too ls .net# 
Type ndSsunms .exe —h for help 

[Path] # filename 


[CG INDONES Ss ysten3 a2 ™ 1 
temp2 . exe 635BAFafb6SF311cA4cbh48ASea3cad?ce? 


GE WINDOYS™Esysten323 2?“ 


وهم کالتالي: 
temp1.exe: a5f8018df4209ae978b090 7ce1664ff2‏ 
temp2.exe: 6350faf65f31 1c04cb4808ea3cad7ce7‏ 


لنلقى نظره على كل منهم على حده . بالنسبة للملف الثاني ع×ع.2م" ا فأهم ما فيه وهو محاولة الإتصال بالموقع (و۷.3322.0۲٣۳١۸)‏ عن 
طريق السوكت أع)عم؟S ۲٤۳۲‏ . الشكل التالي يوضح الكود المسؤول عن انشاء الإتصال: 


أما الملف الأول temp 1.exe‏ فهو مشفر ببرنامج 1.2 5۴ 11 M۴۷‏ ويحتاج للفك التشفير ٤)٤١‏ ةم١لا‏ » وتمت تجربة برنامج ٤)€۲‏ ۵م" Qu‏ ولكن لم 
ينجح في الفك لذلك لن نقوم بفكه حاليا ونكتفى بالمعلومات التي توفرت وهو أن الملف يكون موجود بالذاكرة ع×ع.1م٠ع]‏ فور عمل الفايروس. 


ملخص للفایروس الذي قمنا بتحلیله هو أنه یقوم بانشاء ملفین 8۳1.8×۵† وهي یقوم بمهمه ما لا نعرف ماهیتها الى الأن ولكن لم تظهر لنا اي 
نتيجة بعد تشغيل الفايروس (لا يوجد ملفات ينشئها أو مهمه يقوم بها) » الملف الأخر يقوم بالإتصال لأحد المواقع بالسوكت عن طريق المنفذ 
8 وتحصل مشكلة ويتوقف عن العمل كما وضحت أحد الصور السابقة. 


موقع مكافي وضح عمل الفايروس ه ۷32/۴٥۲٥۷9‏ كالتالي: 
Characteristics MN e Afe e‏ 
File: EindFile. EXE‏ 


Hash: IdA4cO73 Obabee NAAN la SebaabtdfSe 
gize: #3, F28 bytes 


Upon execution, drops folowmg files on user's Posystemiao folder. 


e» File: temp l.exe 

Hash: aSfENlsdA2NPaeSSbAAOTee lebAF2 
e File: tempd. exe 

Hash: fbAS bE Se39ledacb 55352 A0984 


temp l.exe opens fes listed below more frequently: 


® XCOpY.EXE 
e auotmm. hf 
® svchost. EKE 


temp d.exe opens tcp port (SS88) and tries to connect to 211.683.242.91 address. 
کالتالي:‎ r 0زan.Dropper.Smaا|.۸۴L وضح عمل الفایروس‎ Bit defeNd€۲ وموقع‎ 


Trojan. Dropper.small.APL 


Spreading: medium 

(Sbitdefend 
Sizes 23800 Er 
Discovered: AODOT Apr OT 


| STMPTOMS: 
Presence of the following files: 


win dir eS y ste M3 Ake MP1, Exe 
e Indir SY SEEM SAME PE ‘BEXE 


a win direya utorun ,İinıf 
th win dir tax COPY Exe 
e indir es wchost e xe 


Presence of the following walue: 


HEZLMSofRtwW are Micros of rindoms MT Currentwersion 
in dowmsmload = "win dirthswchost,exe" 


ولكن للأسف الملفات الموضحه بالمربع الأحمر في الشكل أعلاه لا توجد في الجهاز بعد أن أصبناه » وهذا يعود لإحتمالين لا ثالث لها » الأول هو 
أن يكون الفايروس الذي قمنا بتحليله يختلف عن الموجود لدى #۲ل”٠۴هل8i‏ والإحتمال الأخر وهو الإحتمال الاكبر وحود مشكله ما أدت الى أن 


يتوقف الفايروس عن العمل ولم يكمل انشاء هذه الملفات ! 


:Perlovga Removal Tool 

بعد أن وضحنا عمل الفايروس بشكل سطحي . يمكن الأن حذفه بسهوله من النظام وذلك من خلال البحث في المسارات التي تم كشفها 
والتي یستخدمه الفایروس ومن ثم القیام بتعدیلها یدویاء أو کتابه بریمج صغیر يقوم بالمهمه وهو ما سنفعله الأن » آي کتابه أداه بسيطه للتخلص 
من هذا الفایروس ھو۷٥!اام۴ Anti‏ وتقوم هذه الأداه بعد حذق الفايروس بتصليح المفاتيح في مسجل النظام والتي قام الفايروس بتغييرها. 


الحوارزمية لهذا المنظف /ج۷ا0 ۸٥۴٣‏ تكون كالنالى : 

البحث في الذاكرة عن وجود الملف ع×ع.1م۳عا » واذا وجد هذا الملف يتم اغلاقه . 

البحث في المسار ۳32٠عأك۷ء‏ عن الملفين ع×ع.1م۳ع† و ع×ع.2م۳Pع‏ ويتم حذفهم. 

البحث في المسار ۷W۷s٥لd٣اسW‏ عن الملفات ۴¬¡ autorun.‏ و svchost.exe‏ و ×coPpY.exe‏ ويتم حذفھهم. 
تعديل القيمه في الريجستري وارجاعها الى القيمه الأصليه . 


لتطبيق الخطوه الأولى سنحتاج لطريقة نمر من خلالها على جميع العمليات في النظام sکئع En umم۲2ا٤ ۴۲٥‏ ومن ثم نختبر كل عملية على حده 
ونرى هل أسم العملية هو نفس أسم الملف الذي نريد غلقه (في حال تغير الأسم يجب تفغيير الإسم هنا أيضا » ويمكن أن تكون المقارنة على 
أساس الطكة١‏ للملفين) . وسوف يتم استخدام الدوال خ×ss32NeععoاProcess32۴Fist/۴‏ لإيجاد كل العمليات في النظام ومن ثم اغلاق العمليه 
باستخدام الداله ءءععo٣٥۴عerminat"‏ . الكود التالي يوضح العملية : 


## Pass Name To Function 
j] BOOL ClonszeProcess {TCHAR* processName} { 


HANDLE hSnapShot = CreateToolhelp32Snapshot{( TH32C8_SNAPPROCESS , DUD}; 

2 if { hSnapShot == INVALID_HANDLE_ VALUE } { 

return FAL3E ; 
1 } 
PROCESSENTET3ZE pe ¢; 
peE.dAwSize = sizeof) PFEOCESSENTRTIS FJ; 
EBOOL bFlag = FALSE ; 

if { Process3adFirsat{ hSnapShot ,&pe} } { 

2 do { 

- if { strcmp{pe.sazExeFile,processName} == Û0 } { 
HANDLE hProcess = DpenProceas{ PROCESS _ TERMINATE ,FALSE,pE.th3EProcessID} ¢; 
iF { hProcess == HULL } 

bFlag = FALSE ¢ 
3 = else { 
39 bFlag = TRUE ¢; 
40 TerminateProcess{ hProcess,O} ; 
41 CI1oseHandlet{ hProcess)} ; 
43 8 } 
43 ^ } 
44 }rhile { Process33Next{ hSnap3hot pe} } ; 
45 C1InsEHandle { hSnap3hot} ; 
46 ٣ } 
و‎ 
48 return bFlag ; 
4 IF 


الخطوه التانيه وهي حذق الملفات التي يخلفها الفايروس وهي ع×ع.1م" ع و ع×ع.em”p2عt‏ في مجلد ال32 ”"ع†sys\اC:\|WI|NDOWS‏ . بالإضافة 
الى الملفات autorun.İ¬۴‏ و svchost.exe‏ و x×copy.exe‏ في المسار ٥C:|¥1N00WS‏ . وسيتم استخدام الدالة ٤ا۴عاء‌ام0‏ للقيام بهذه المهمه 
ولكن بعد تعديل خصائص الملف وجعل الملف ملف عادي . الكود التالي يقوم بالمهمه : 


YUID PerlovgaRemowe {j} { 
Reset AindDe leteFile{ "CZ: 1 1 WINDOWS SY 1 
ResetAndDeleteFile{ "2:1 1 WINDOWS xcopy.exe"y F; 
ResetAndDe leteFilet{ "CZ: 1 TINDOUS 1 autorun. inf} F 
Reset AndDe leteFile{ "TZ: 1 WINDOWS" aC host . Exe" J 
ResetAndDe leteFile{ "TC: 1 TINDOUSN Mays LEmMITE N Lemp l. exe" 


IID ReszetAindDeleteFile {LPTSTE path} { 
SetFileAattributes{ path, FILE ATTRIBUTE _ WHORHMAL} ¢; 
DeleteFilef{ path} ; 


الخطوه الأخيره وهي حذف قيمه الريجستري |٠۵4‏ الموجوده في lلمiuر‏ : HKEY_CURRENT_USER\Software\Microsoft\Windows‏ 
N "\CurrentVersion\| Windows‏ . وسيتم استخدام دوال الريجستري للتعامل معها » والكود التالي يوضح حذق القيمه : 


16 ff Registry Entry Removal 
17 [VOID PelovgaRegistryCorrecting {} { 


18 HEEY hkey ; 

8 if { RegpenKerEx | 

1 HKET CURRENT USER, TEATY "Software! 1 Microsoft 1 Windows NTI CurrentVeraion! {Windows} , 
i E 0, KEY ALL_ACCES3, hey) == ERROR SUCCESS }{ 

2 

23 BITE Buf[] = TEXT}; 

24 if ( RegSetValueEx(hKey,TEET{" load") ,0,REG_32,Buf,1} == ERROR SUCCESS } 

3 atditcout 4¢ "Remove OK" 4% atditendl; 

E } 

n TF 


وكهذا يكون الكود الكامل بعد تجميع تلك الأجزاء على الشكل التالي: 


int main {(HINSTANCE hInstance , HINSTANCE hPrevInstance, LPTSTR l1lpcmdLine, int mCmdShov} { 
Cl1osaeProcess{ "templ.ExE"} ; 
##ClogeProcessa |"tempd .exe"} ; 
PerlovgaRemoye{ } ; 
PerlovgaRegiztryCorrectingt } ; 


int ret = MessageBox {HULL ,TEET{( "Remove Perlorga Virus Successfully ...mn" 
"Do you vant To Restart Hachine?"}, 
TEXT{ "Cleaning Hachine from Per lovga Virus "} ,HB_OKCANCEL | HB_ICONINFORHATION} ; 


if { ret == IDOE j { 
RestartPCi } ; 


return {lU}; 


} 


نقوم الأن بعمل أعاده تشغيل الجهاز التخيلي ومن ثم اصابة الجهاز التخيلي بالفايروس > وبعدها يتم نقل المضاد للفايروس الى الجهاز التخيلي 
ومن تم تشغيله وتخرج الرسالة التاليه : 


Cleaning Machine fram Perlovga Yir us x 


1 ) Remoye Perloyga Virus Successfully ...,. 


Do you want To Restart Machine? 


Lancel 


وهكذا يتم القضاء على الفايروس وحذف كل المخلفات التي يتركها 8۲مم0۲0 ويعدل قيم الريجستري التي يغيرها الفايروس » ويمكن عمل اعاده 
تشغیل بالضغط على ٩‏ . 


محمد اسماعیل محمد اسماعیل 


